[Résolu] Virus ZeroAccess récalcitrant
Posté : jeu. 7 nov. 2013 13:12
Bonjour tout le monde,
J'ai soucis avec un virus répondant au doux nom de zeroaccess et je n'arrive pas a le cajoler suffisamment pour qu'il daigne partir
Comme j'ai horreur des passagers clandestins j'ai décidé d'envoyer de nombreux hommes mais aucuns n'a réussit à l'éradiquer totalement (le plus efficace ayant été Rogue killer).
Grâce à lui (et au tutoriel du site de l'éditeur) j'ai supprimer les clé de registres mais le fichier de base reste toujours présent, impossible de le supprimer, roguekiller le trouve dans son analyse, mais après la suppression je dois redémarrer le PC et une fois fait le fichier est toujours là, donc la dernière partie du tutoriel est dans mon cas inefficace.
J'ai utilisé également malwarebyte, Avast, et ADW mais cela na rien donné de probant (il ne détecte rien de spécial....).
Voici le rapport de Roguekiller juste après le scan et avant la suppression (de toute façon ca ne supprime plus rien).
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Cédric [Droits d'admin]
Mode : Recherche -- Date : 11/06/2013 13:00:01
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 6 ¤¤¤
[C??�dric][SUSP UNIC] ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk [x] - TROUVÉ
[C??�dric][SUSP UNIC] DM-76.exe : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DM-76.exe [x] - TROUVÉ
[C??�dric][SUSP UNIC] FacebookVideoCallSetup_v1.2.203.0.exe : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookVideoCallSetup_v1.2.203.0.exe [x] - TROUVÉ
[C�dric][SUSP UNIC] ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk [x] - TROUVÉ
[C�dric][SUSP UNIC] DM-76.exe : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DM-76.exe [x] - TROUVÉ
[C�dric][SUSP UNIC] FacebookVideoCallSetup_v1.2.203.0.exe : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookVideoCallSetup_v1.2.203.0.exe [x] - TROUVÉ
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] -- TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] IAT @iexplore.exe (GetProcAddress) : KERNEL32.dll - HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71B81E4B)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) SAMSUNG HD103UJ ATA Device +++++
--- User ---
[MBR] 17e30464dca2936e54de9f2db9c3484d
[BSP] 4f727df78f9711a5a8ce098120c50b68 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953766 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 156878b90cc57a7fc62fd1aab8c7dfd8
[BSP] 1b8653736723294bf7879381e5a295eb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 3816 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine :
RKreport[0]_D_11062013_110957.txt;RKreport[0]_D_11062013_112540.txt;RKreport[0]_D_11062013_115245.txt
RKreport[0]_D_11062013_120239.txt;RKreport[0]_D_11062013_120446.txt;RKreport[0]_D_11062013_122042.txt
RKreport[0]_S_11062013_110450.txt;RKreport[0]_S_11062013_111752.txt;RKreport[0]_S_11062013_113221.txt
RKreport[0]_S_11062013_115006.txt;RKreport[0]_S_11062013_120224.txt;RKreport[0]_S_11062013_120415.txt
RKreport[0]_S_11062013_121605.txt;RKreport[0]_S_11062013_123410.txt
Merci de me donner une solution efficace .
PS: j'ai utilisé ZHP mais j'ai du mal à voir son utilité, mais bon je peux poster un rapport si besoin
J'ai soucis avec un virus répondant au doux nom de zeroaccess et je n'arrive pas a le cajoler suffisamment pour qu'il daigne partir
Comme j'ai horreur des passagers clandestins j'ai décidé d'envoyer de nombreux hommes mais aucuns n'a réussit à l'éradiquer totalement (le plus efficace ayant été Rogue killer).
Grâce à lui (et au tutoriel du site de l'éditeur) j'ai supprimer les clé de registres mais le fichier de base reste toujours présent, impossible de le supprimer, roguekiller le trouve dans son analyse, mais après la suppression je dois redémarrer le PC et une fois fait le fichier est toujours là, donc la dernière partie du tutoriel est dans mon cas inefficace.
J'ai utilisé également malwarebyte, Avast, et ADW mais cela na rien donné de probant (il ne détecte rien de spécial....).
Voici le rapport de Roguekiller juste après le scan et avant la suppression (de toute façon ca ne supprime plus rien).
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Cédric [Droits d'admin]
Mode : Recherche -- Date : 11/06/2013 13:00:01
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 0 ¤¤¤
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 6 ¤¤¤
[C??�dric][SUSP UNIC] ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk [x] - TROUVÉ
[C??�dric][SUSP UNIC] DM-76.exe : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DM-76.exe [x] - TROUVÉ
[C??�dric][SUSP UNIC] FacebookVideoCallSetup_v1.2.203.0.exe : C:\Users\C??�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookVideoCallSetup_v1.2.203.0.exe [x] - TROUVÉ
[C�dric][SUSP UNIC] ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ABBA - Mamma Mia Soundtrack [2008] - Raccourci.lnk [x] - TROUVÉ
[C�dric][SUSP UNIC] DM-76.exe : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DM-76.exe [x] - TROUVÉ
[C�dric][SUSP UNIC] FacebookVideoCallSetup_v1.2.203.0.exe : C:\Users\C�dric\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\FacebookVideoCallSetup_v1.2.203.0.exe [x] - TROUVÉ
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][Repertoire] Install : C:\Program Files\Google\Desktop\Install [-] -- TROUVÉ
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] IAT @iexplore.exe (GetProcAddress) : KERNEL32.dll - HOOKED (C:\Program Files\Internet Explorer\IEShims.dll @ 0x71B81E4B)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)
[Address] IAT @iexplore.exe (RegGetValueW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x76500E47)
[Address] IAT @iexplore.exe (RegOpenKeyExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650468D)
[Address] IAT @iexplore.exe (RegCloseKey) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x7650469D)
[Address] IAT @iexplore.exe (RegQueryValueExW) : api-ms-win-downlevel-advapi32-l1-1-0.dll - HOOKED (C:\Windows\system32\advapi32.DLL @ 0x765046AD)
[Address] IAT @iexplore.exe (StrStrIW) : api-ms-win-downlevel-shlwapi-l1-1-0.dll - HOOKED (C:\Windows\system32\shlwapi.DLL @ 0x75E046E9)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) SAMSUNG HD103UJ ATA Device +++++
--- User ---
[MBR] 17e30464dca2936e54de9f2db9c3484d
[BSP] 4f727df78f9711a5a8ce098120c50b68 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 953766 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: (\\.\PHYSICALDRIVE1 @ USB) USB DISK 2.0 USB Device +++++
--- User ---
[MBR] 156878b90cc57a7fc62fd1aab8c7dfd8
[BSP] 1b8653736723294bf7879381e5a295eb : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 8064 | Size: 3816 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine :
RKreport[0]_D_11062013_110957.txt;RKreport[0]_D_11062013_112540.txt;RKreport[0]_D_11062013_115245.txt
RKreport[0]_D_11062013_120239.txt;RKreport[0]_D_11062013_120446.txt;RKreport[0]_D_11062013_122042.txt
RKreport[0]_S_11062013_110450.txt;RKreport[0]_S_11062013_111752.txt;RKreport[0]_S_11062013_113221.txt
RKreport[0]_S_11062013_115006.txt;RKreport[0]_S_11062013_120224.txt;RKreport[0]_S_11062013_120415.txt
RKreport[0]_S_11062013_121605.txt;RKreport[0]_S_11062013_123410.txt
Merci de me donner une solution efficace .
PS: j'ai utilisé ZHP mais j'ai du mal à voir son utilité, mais bon je peux poster un rapport si besoin